18. Juni 2018

Cyber Resilience: Vorbereitung auf den Fall der Fälle

Cybersicherheit hört da auf, wo Angreifer Erfolg haben. Kommen sie durch die Schutzwälle – was bei gezielten Angriffen quasi immer der Fall ist – müssen Cyber Resilience-Vorkehrungen greifen. Also Maßnahmen, die den Geschäftsbetrieb trotz kompromittierter IT-Systeme oder Datenverluste weiterlaufen lassen. Was gehört im Detail zur Cyber Resilience?

Cyber Resilience ist Vorausetzung dafür, auch bei erfolgreichen Angriffen handlungsfähig zu bleiben  zoom Unternehmen sollten auch auf erfolgreiche Angriffe vorbereitet sein

Bevor es um Cyber Resilience (Deutsch etwa Cyberwiderstandsfähigkeit) im Detail geht, eine wichtige grundlegende Einordnung: Cyber Resilience ersetzt Cybersicherheit nicht. Die beiden Maßnahmenpakete ergänzen sich vielmehr. Sie haben aber einen unterschiedlichen Fokus: Cybersicherheit hat die Aufgabe, Systeme, Netze und Daten zu schützen. Ihre Wirksamkeit reicht aber per definitionem nur bis zu dem Zeitpunkt, zu dem ein Angreifer die diversen Schutzmechanismen überwinden kann.

Dann kommt Cyber Resilience ins Spiel. Sie sorgt durch vordefinierte Maßnahmen – beispielsweise Backups, Notfallkommunikationspläne oder Business Continuity Management – dafür, dass der Geschäftsbetrieb im Fall der Fälle nicht unterbrochen wird oder zumindest schnell wieder ins Laufen kommt.

Um Maßnahmen im Unternehmen zu verankern, die die Widerstandsfähigkeit erhöhen, muss die Unternehmensspitze zunächst verinnerlichen, dass jedes Unternehmen früher oder später erfolgreich angegriffen wird. Da dies eine eher unangenehme Erkenntnis ist, tun sich viele Führungskräfte und Cybersicherheitsverantwortliche nach wie vor schwer, Resilience als notwendige Aufgabe zu akzeptieren. In dem Zusammenhang hilft es, wenn sich die Betroffenen vor Augen halten, dass die Frage nach dem „Und was passiert bei einem erfolgreichen Angriff?“ mit Cyber Resilience-Maßnahmen beantwortet werden kann.

Grundvoraussetzung für erfolgreiche Maßnahmen ist – neben der Aufmerksamkeit des Managements – entsprechendes Budget. Um die entsprechenden finanziellen Mittel bereitstellen zu können, lohnt sich eine Analyse der aktuellen Ausgaben für Cybersicherheitskomponenten. Eventuell finden sich dort Posten, die nach gründlicher Prüfung des aktuellen, tatsächlichen Risikos nicht mehr notwendig sind oder die auf einen späteren Zeitpunkt verschoben werden können: Distributed Denial of Service-Attacken beispielsweise sind zwar für viele Unternehmen ein Problem. Schutz davor benötigt eine Organisation aber nur, wenn ihre Geschäftsprozesse durch DDoS-Angriffe zum Stillstand kämen. Ist dies nicht der Fall, wird das dafür eingeplante Geld dann besser in Resilience investiert.

Viele Organisationen haben bereits Konzepte zum oben erwähnten Business Continuity Management (BCM). Diese Konzepte sind aber häufig nur auf den Umgang mit Naturkatastrophen oder Bränden ausgelegt. Eine Cyber-Attacke, die weite Teile der IT-Infrastruktur betrifft, erfordert dagegen ganz andere Abwehrmaßnahmen. Beispielsweise kann das funktionsfähige Ersatzhardware sein, die wichtigen Mitarbeitern im Fall einer Ransomware-Attacke ausgehändigt wird. Verlangt das BCM nach einem Backup-Konzept, sollte im Rahmen der Cyber Resilience geprüft werden, ob wirklich nur die relevanten (geschäftskritischen) Daten gesichert werden oder auch Datensätze, auf die man im Zuge der Geschäftssicherung verzichten könnte und ob sich diese auch in möglichst kurzer Zeit am passenden Ort wiederherstellen lassen. Cyber-Widerstandsfähigkeit verlangt also Antworten auf die Frage, wie sich eine weitflächige Cyber-Attacke auf den Geschäftsbetrieb auswirkt.

Welche Punkte gilt es nun im Rahmen eines umfassenden Cyber-Resilience-Konzepts zu beachten? Das Computer Computer Emergency Response Team (CERT) der US-Regierung empfiehlt unter anderem, die folgenden Aspekte unter die Lupe zu nehmen und gegebenenfalls mit ins Konzept aufzunehmen:

  • Hard- und Software-Assets

  • Konfigurations- und Change-Management, um die Assets funktionstüchtig zu halten

  • Umgang mit Schwachstellen

  • Umgang mit Notfällen

  • Business Continuity Management

  • Risiko-Management

  • Abhängigkeit von externen Dritten (Partnern, Zulieferern und so weiter)

Das Thema Cyber Resilience sowie weitere oben genannte Themen wurden auf der Command Control 2018 unter anderem in der Themenwelt Integrated Risk Management beleuchtet.


Foto: pexels.com